Il y a quelques jours, un cas a été détecté que reremembers comment fragile l'écosystème d'extension de navigateur peut être: une extension pour Chrome appelé "QuickLens - Écran de recherche avec Google Lens" a été retiré du Chrome Web Store après une mise à jour malveillante a commencé à distribuer le code conçu pour voler les lettres d'identification et d'assaut cryptomonéda portefeuilles.
QuickLens est né comme un outil pratique de recherche avec Google Lens directement depuis le navigateur et est venu pour rassembler quelques milliers d'utilisateurs; il a même semblé exceptionnel dans le magasin Chrome. Cependant, après un changement de mains sur votre propriété - l'extension a été mise en vente dans un marché tiers et, selon les chercheurs, il est devenu géré par un compte lié au support de courrier @ doodlebuggle. haut sous un nom commercial peu convaincant - une version ultérieure a incorporé le code hostile qui a transformé l'extension en vecteur d'attaque.
La première analyse publique de cette manœuvre a été publiée par l'équipe de sécurité de l'annexe., qui documentait comment la mise à jour a introduit de nouvelles autorisations dangereuses, et comment un fichier de règles a été ajouté qui a supprimé les en-têtes de sécurité des sites (y compris Content-Security-Policy, X-Frame-Options et X-XSS-Protection). Vous pouvez lire le rapport technique de l'annexe ici: annexe.sécurité / blog / pixel-perfect /.
La combinaison de permis étendus et la suppression de ces en-têtes ont permis l'exécution de scripts reçus d'un serveur de commande et de contrôle sur pratiquement toutes les pages visitées par les victimes. Selon l'enquête, l'extension a généré un identifiant persistant pour chaque navigateur infecté, obtenu des informations sur le pays de l'utilisateur (en utilisant des paramètres publics) et consulté le serveur malveillant toutes les cinq minutes pour obtenir des instructions.
Une analyse journalistique par la suite Calculateur Il a décrit plus en détail les types de charge malveillante que l'extension téléchargée et exécutée. L'une des astuces utilisées était d'insérer une image de 1x1 pixel dont l'événement de chargement a lancé le code en ligne sur la page - une technique qui, combinée à la suppression de CSP, a permis de supprimer les commandes qui bloquent habituellement les scripts injectés.
Parmi les charges que le serveur malveillant distribué était celui qui a contacté un domaine qui a simulé pour être une mise à jour Google et a montré une fausse "Google Update" avis. Cet avis n'était pas seulement ennuyeux publicité: en appuyant sur elle l'utilisateur a reçu des instructions pour exécuter une sorte de "vérification" qui a effectivement conduit au téléchargement d'un exécutable pour Windows appelé googleupdate.ex. Le fichier a été analysé sur des plateformes telles que VirusTotal où son artefact a été enregistré.
Ce binaire, selon les traces trouvées, a lancé des commandes PowerShell en arrière-plan qui ont essayé de récupérer un second composant d'une autre URL et l'exécuter directement en mémoire, une technique classique pour éviter de laisser des traces sur le disque. D'autre part, un autre script livré par le serveur de commande et de contrôle était spécifiquement destiné aux consommateurs de cryptomoneda: il a détecté des extensions et des portefeuilles populaires (MetaMask, Phantom, Coinbase Wallet, Trust Wallet, entre autres), avec l'intention de capturer les phrases de semences, les clés privées et l'activité à vide portefeuilles.
Le champ d'application n'était pas limité à l'échange cryptoétranger: des modules ont été signalés pour extraire des courriels, des données de compte publicitaire sur Facebook et même des informations de canal YouTube. La feuille d'extension mentionne également une cible possible pour macOS par un infostealer connu sous le nom AMOS, bien que cette partie ne puisse pas être confirmée indépendamment selon les rapports.
Face aux preuves, Google a supprimé QuickLens du magasin et Chrome a commencé à désactiver automatiquement l'extension dans les navigateurs affectés. Pourtant, ceux qui l'ont installé doivent supposer que leur équipe a pu être compromise.
Si vous avez installé QuickLens, il y a des étapes concrètes que vous devez faire dès que possible.. Premièrement, il élimine l'extension de la gestion de l'extension de Chrome - Google publie des instructions sur la façon de le faire sur son support officiel: support.google.com / chrome / ansher / 187443. Puis effectuer une analyse complète avec un antivirus de confiance ou antimalware; des outils comme Malhareoctets Ils offrent souvent des scans capables de détecter les artefacts de ces campagnes. Changez les mots de passe que vous avez stockés dans le navigateur et activez la vérification en deux étapes sur vos comptes les plus sensibles.
Si vous étiez un utilisateur de l'un des portefeuilles mentionnés, considérez que la phrase de départ aurait pu être compromise. La chose la plus prudente est de déplacer les fonds vers de nouvelles directions générées par une bourse qui n'a pas utilisé les clés compromises., de préférence à l'aide d'un portefeuille physique (plage de matériel) si le montant le justifie. Consultez les recommandations de sécurité de votre fournisseur de portefeuille pour connaître les étapes précises à suivre; par exemple, MetaMask maintient des guides de sécurité qui peuvent vous aider à récupérer la protection de vos actifs: metamask.io - sécurité.
Cet incident met de nouveau en lumière plusieurs problèmes structurels : la facilité avec laquelle les extensions légitimes peuvent changer de propriété, la vente d'extensions sur les marchés secondaires et la puissance élevée que les permissions du navigateur ont lorsqu'elles sont utilisées à des fins malveillantes. Dans de nombreux cas, les attaquants n'ont pas besoin de briser la cryptographie sophistiquée : il suffit de tromper l'utilisateur pour exécuter une mise à jour frauduleuse ou pour livrer sa phrase de semence.
Pour réduire le risque à l'avenir, il est nécessaire d'examiner plus attentivement les extensions que vous installez, de limiter leur nombre et de préférer celles de développeurs bien connus. Il est également recommandé d'examiner régulièrement les permis que chaque demande de prolongation et de supprimer ceux qui demandent un large accès sans raison claire. Les politiques Magasin Web Chrome ils existent pour protéger l'utilisateur, mais ils ne sont pas infaillibles: la surveillance et la prudence individuelle restent essentielles.
Bref, QuickLens est passé d'un outil utile à un véritable danger après un changement de contrôle et une mise à jour malveillante. L'élimination de Google et l'analyse publique ont arrêté la campagne dans une certaine mesure, mais les conséquences pour les utilisateurs touchés peuvent être graves. Si vous étiez un utilisateur d'extension: supprimez-le, scannez votre ordinateur, changez de mot de passe et, si vous conduisez cryptomonedas, supposez la possibilité que les clés soient compromises et déplacez vos fonds vers un portefeuille sécurisé.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...